魔术数字（magic number）是程式设计中所谓的直接写在程式码里的具体数值（如“10”“123”等以数字直接写出的值）。虽然程式作者写的时候自己能了解数值的意义，但对其他程式员而言，甚至制作者本人经过一段时间后，会难以了解这个数值的用途，只能苦笑讽刺“这个数值的意义虽然不懂，不过至少程式会动，真是个魔术般的数字”而得名。

序列化是将复杂的数据结构（如对象及其字段）转换为“更扁平”的格式的过程，该格式的数据可以作为字节流序列发送和接收。序列化的数据让以下过程更简单： 将复杂数据写入进程间内存、文件或数据库 发送复杂数据，例如，通过网络或API调用，在应用程序的不同组件之间传递复杂数据 Java 序列化是指把 Java 对象转换为字节序列的过程，以便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。

SRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解： 攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。如下：其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户。

身份验证绕过以多种方式发生，但通常利用配置或逻辑中的一些缺陷。篡改以达到正确的条件。

Broken Access Control(越权访问) Insecure Direct Object References(不安全的直接对象引用) 直接对象引用 直接对象引用是指应用程序使用客户端提供的输入来访问数据和对象。

跨站点脚本 （XSS） 攻击是一种注入，其中 恶意脚本被注入到其他良性和受信任的脚本中 网站。当攻击者使用 Web 应用程序执行以下操作时，会发生 XSS 攻击 发送恶意代码（通常以浏览器端脚本的形式）到 不同的最终用户。允许这些攻击成功的缺陷是 相当普遍，并且发生在 Web 应用程序使用来自 用户在其生成的输出中，而无需对其进行验证或编码。